Ανάλυση δομών κακόβουλου λογισμικού

Ανάλυση δομών κακόβουλου λογισμικού

Στόχος της εργασίας είναι η ανάλυση των δομών του κακόβουλου λογισμικού WannaCry με στατικές μεθόδους, αλλά και η δημιουργία αποτελεσματικών κανόνων YARA για την ανίχνευσή του. Αρχικά, περιγράφονται τα κύρια είδη κακόβουλου λογισμικού. Παρουσιάζονται τα χαρακτηριστικά τους, οι θεμελιώδεις διαφορές...

Πλήρης περιγραφή

Λεπτομέρειες βιβλιογραφικής εγγραφής
Κύριος συγγραφέας: Μπαλωμένος, Στυλιανός
Άλλοι συγγραφείς: Balomenos, Stylianos
Γλώσσα:Greek
Έκδοση: 2022
Θέματα:
Κακόβουλο λογισμικό
WannaCry
Ghidra
Malware
Ransomware
Διαθέσιμο Online:http://hdl.handle.net/10889/16056
id nemertes-10889-16056
record_format dspace
spelling nemertes-10889-160562022-09-05T20:39:47Z Ανάλυση δομών κακόβουλου λογισμικού Malware structural analysis Μπαλωμένος, Στυλιανός Balomenos, Stylianos Κακόβουλο λογισμικό WannaCry Ghidra Malware Ransomware Στόχος της εργασίας είναι η ανάλυση των δομών του κακόβουλου λογισμικού WannaCry με στατικές μεθόδους, αλλά και η δημιουργία αποτελεσματικών κανόνων YARA για την ανίχνευσή του. Αρχικά, περιγράφονται τα κύρια είδη κακόβουλου λογισμικού. Παρουσιάζονται τα χαρακτηριστικά τους, οι θεμελιώδεις διαφορές μεταξύ των ειδών και τεχνικές που χρησιμοποιούνται για την απόκρυψή τους. Στη συνέχεια, περιγράφονται οι βασικές τεχνικές που χρησιμοποιούνται για την ανάλυση (στατική, δυναμική, μνήμης), και παρουσιάζονται μερικές εφαρμογές που μπορούν να εκτελέσουν αυτές τις αναλύσεις. Παράλληλα, περιγράφονται οι κανόνες YARA, η δομή τους, η χρησιμότητά τους και ο τρόπος δημιουργίας τους. Έπειτα, γίνεται η ανάλυση ενός δείγματος του WannaCry. Για αρχή, εξάγονται κάποιες στοιχειώδεις πληροφορίες για το εκτελέσιμο αρχείο. Ακολουθεί μία διεξοδική ανάλυση του WannaCry χρησιμοποιώντας αντίστροφη μηχανική με το εργαλείο Ghidra. Στο σημείο αυτό φαίνεται η λειτουργία του βασικού κορμού του συγκεκριμένου λογισμικού. Με βάση τις πληροφορίες που προέκυψαν από την ανάλυση, δημιουργούνται μερικοί κανόνες YARA, με σκοπό την ταυτοποίηση δειγμάτων του WannaCry. Τέλος, γίνεται έλεγχος της αποτελεσματικότητας των κανόνων αυτών. Ο έλεγχος γίνεται με εφαρμογή κάθε κανόνα YARA σε φάκελο με 27 διαφορετικά δείγματα εκτελέσιμων του WannaCry. Οι κανόνες συγκρίνονται μεταξύ τους, αλλά και με το σύνολο κανόνων του ερευνητή ασφαλείας, Florian Roth. The aim of this project is both the structure analysis of the Wannacry malware with static methods, and the creation of effective YARA rules for its detection. At first the main types of malware are described. Here are presented their characteristics, the basic differences among the types and the techniques that are used for their obfuscation. After that, the basic techniques that are used for the analysis (static, dynamic, memory) are described and then some of the applications which can carry out these analysis are presented. At the same time, YARA rules, their structure, their use and the way they are created are described. Then, the analysis of a WannaCry sample is taking place. At first, some basic information is gathered for the executable file. After that follows a thorough analysis of Wannacry using reverse engineering with the tool Chidra. At this point the function of the basic body of the specific software is presented. According to the information that arose after the analysis, some YARA rules are created in order to identify the WannaCry samples. Finally, a checking of the effectiveness of these rules is carried out. The checking is taking place with the application of each YARA rule in a file of 27 different executable WannaCry samples. The rules are compared among them, but also to the set of rules created by the safety researcher Florian Roth. 2022-03-15T10:55:45Z 2022-03-15T10:55:45Z 2022-03-14 http://hdl.handle.net/10889/16056 gr application/pdf
institution UPatras
collection Nemertes
language Greek
topic Κακόβουλο λογισμικό
WannaCry
Ghidra
Malware
Ransomware
spellingShingle Κακόβουλο λογισμικό
WannaCry
Ghidra
Malware
Ransomware
Μπαλωμένος, Στυλιανός
Ανάλυση δομών κακόβουλου λογισμικού
description Στόχος της εργασίας είναι η ανάλυση των δομών του κακόβουλου λογισμικού WannaCry με στατικές μεθόδους, αλλά και η δημιουργία αποτελεσματικών κανόνων YARA για την ανίχνευσή του. Αρχικά, περιγράφονται τα κύρια είδη κακόβουλου λογισμικού. Παρουσιάζονται τα χαρακτηριστικά τους, οι θεμελιώδεις διαφορές μεταξύ των ειδών και τεχνικές που χρησιμοποιούνται για την απόκρυψή τους. Στη συνέχεια, περιγράφονται οι βασικές τεχνικές που χρησιμοποιούνται για την ανάλυση (στατική, δυναμική, μνήμης), και παρουσιάζονται μερικές εφαρμογές που μπορούν να εκτελέσουν αυτές τις αναλύσεις. Παράλληλα, περιγράφονται οι κανόνες YARA, η δομή τους, η χρησιμότητά τους και ο τρόπος δημιουργίας τους. Έπειτα, γίνεται η ανάλυση ενός δείγματος του WannaCry. Για αρχή, εξάγονται κάποιες στοιχειώδεις πληροφορίες για το εκτελέσιμο αρχείο. Ακολουθεί μία διεξοδική ανάλυση του WannaCry χρησιμοποιώντας αντίστροφη μηχανική με το εργαλείο Ghidra. Στο σημείο αυτό φαίνεται η λειτουργία του βασικού κορμού του συγκεκριμένου λογισμικού. Με βάση τις πληροφορίες που προέκυψαν από την ανάλυση, δημιουργούνται μερικοί κανόνες YARA, με σκοπό την ταυτοποίηση δειγμάτων του WannaCry. Τέλος, γίνεται έλεγχος της αποτελεσματικότητας των κανόνων αυτών. Ο έλεγχος γίνεται με εφαρμογή κάθε κανόνα YARA σε φάκελο με 27 διαφορετικά δείγματα εκτελέσιμων του WannaCry. Οι κανόνες συγκρίνονται μεταξύ τους, αλλά και με το σύνολο κανόνων του ερευνητή ασφαλείας, Florian Roth.
author2 Balomenos, Stylianos
author_facet Balomenos, Stylianos
Μπαλωμένος, Στυλιανός
author Μπαλωμένος, Στυλιανός
author_sort Μπαλωμένος, Στυλιανός
title Ανάλυση δομών κακόβουλου λογισμικού
title_short Ανάλυση δομών κακόβουλου λογισμικού
title_full Ανάλυση δομών κακόβουλου λογισμικού
title_fullStr Ανάλυση δομών κακόβουλου λογισμικού
title_full_unstemmed Ανάλυση δομών κακόβουλου λογισμικού
title_sort ανάλυση δομών κακόβουλου λογισμικού
publishDate 2022
url http://hdl.handle.net/10889/16056
work_keys_str_mv AT mpalōmenosstylianos analysēdomōnkakobouloulogismikou
AT mpalōmenosstylianos malwarestructuralanalysis
_version_ 1771297341533323264

Παρόμοια τεκμήρια